6 votes

Max Tardiveau avatar

Automatiquement créer des certificats de Nom alternatif de sujet (SAN)

Demandé el 17 de Février, 2012
Quand la question a-t-elle été
5957 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous exécutons une CA d'entreprise sur Windows 2008R2. Je viens de mettre à jour vers windows 7 sur mon poste de travail. Maintenant, chaque fois que je me connecte à un serveur distant en utilisant rdp, je reçois un avertissement indiquant que le nom du serveur est incorrect. Cela est dû au fait que j'utilise seulement le nom d'hôte pour me connecter et que le certificat est créé en utilisant le fqdn.

Les certificats sur les serveurs ont été créés en utilisant l'autoinscription avec un modèle basé sur le modèle d'ordinateur.

Y a-t-il un moyen d'inclure automatiquement le nom d'hôte en tant que nom alternatif de sujet (san) et de continuer à utiliser l'autoinscription ? J'aimerais que les certificats auto-inscrits aient server et server.domain.local en tant que nom valide.

Demandé el 17 de Février, 2012 par Max Tardiveau

Réponse

Trop de publicités?

3voto

user26294 avatar
user26294 Points 1982

Vous devriez créer un nouveau modèle de certificat informatique avec l'option Nom du sujet : Fournir dans la demande sélectionnée. Vous devrez fournir à la fois le nom du sujet et le nom du sujet alternatif dans la demande.

Malheureusement, il n'y a pas de moyen de s'inscrire automatiquement avec cette option, car les services de certificat de Windows n'autorisent que l'utilisation du nom DNS ou SPN pour l'alternatif.

À titre informatif, faire quelque chose comme cela ne serait pas considéré comme une meilleure pratique en matière de sécurité, car un attaquant peut effectuer des attaques de l'homme du milieu avec un certificat falsifié.

Répondu el 17 de Février, 2012 par user26294 (1982 Points )

0 votes

Avatar de Max Tardiveau

N'y a-t-il aucun moyen d'automatiser le décapage de la partie de domaine du fqdn? Utiliser des noms arbitraires n'est pas bon. Mais utiliser un nom d'hôte court dérivé automatiquement du fqdn ne devrait pas être un risque de sécurité trop important.

Commenté el 20 de Février, 2012 par Max Tardiveau

0 votes

Avatar de user26294

L'ensemble du FQDN constitue l'identité unique de l'ordinateur ; il n'est pas possible pour un client d'utiliser uniquement une partie du nom. La seule façon de contourner cela est de fournir manuellement le nom alternatif dans la demande, qui doit ensuite être approuvée manuellement. Ceci est conçu pour empêcher les gens de créer involontairement des certificats non sécurisés.

Commenté el 20 de Février, 2012 par user26294

0 votes

Avatar de fjch1997

Il est possible de donner à certains utilisateurs (de confiance) la permission de s'inscrire automatiquement dans l'onglet Sécurité du modèle de certificat.

Commenté el 12 de Avril, 2020 par fjch1997
Afficher 1 autres commentaires

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X